صفحه 1 از 2 1 2 آخرینآخرین
نمایش نتایج: از شماره 1 تا 15 از مجموع 17

موضوع: دزدی ip در شبکه

  
  1. #1
    نام حقيقي: amin

    تازه وارد
    تاریخ عضویت
    Jul 2010
    محل سکونت
    tehran
    نوشته
    8
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    5

    دزدی ip در شبکه

    مشکل امنیتی در رابطه با دزدی ip در شبکه

    سلام به همه دوستان

    من در شبکه شرکتی که کار می کنم با یک مشکل امنیتی رو برو شدم. قبل اینکه مشکل رو مطرح کنم یه توضیح کوچیکی از توپولوژی شبکه واستون می گم:

    ویندوز سرور 2003 با نرم افزار isa و مدیریت کاربرا واسه استفاده از اینترنت با افزونه btsplitter
    هر کاربر یک ادرس ip با استفاده از رزرو مک ادرسش در dhcp داره و با تعریف این ip ها در isa واسه اونا محدودیت زمان و ترافیک داده شده.

    مشکل اینجاست که بعضی از کاربرا با تخصیص دستی ip های یوزر های دیگه از اکانت اونا استفاده می کنند و همچنین این کار باعث میشه mac آدرس ها از رزرو dhcp بپره و نیاز باشه دو باره تعریف بشن

    می دونم اگه شبکه به صورت دومینی بود این مشکل رو نداشتم ولی امکانش نیست که اینکار رو بکنم. در ضمن خواستم *** server ایزا رو راه بندازم که باز هم برای تایید هویت آنها نیاز به محیط دومین هستش تا از یوزر های ویندوز سرور استفاده کنه.

    در نهایت به فکر یه فایروال(sygate personal firewall) افتادم تا در کنار isa کار کنه و بتونم مک ادرس شخصی رو که ای پی دستی وارد میکنه رو بلوک کنم. ولی با عوض کردن مک آدرسش این فیلتر رو هم دور می زنه.

    تنها راه حلی که به ذهنم می رسنه اینه که با یه فایروال بتونم همه رو بلوک کنم غیر اونهایی که mac ادرس هاشون توی فایروال تعریف شده ... ولی فایوالی که بالا بهش اشاره کردم نسخه کرکش موجود نیست و فقط 10 تا رول می شه واسش تعریف کرد که تعداد کاربرای من از 30 تا بالاترند ....


    حالا از شما دوستان گل تقاضا دارم اگه راه حلی به ذهنتون می رسه منو راهنمایی کنید. در ضمن امکانات من فقط همیناست و نمی تونم هیچ دیواس سخت افزاری رو به شبکم اضافه کنم. مرسی




  2. #2
    نام حقيقي: Javad

    عضو عادی
    تاریخ عضویت
    May 2012
    محل سکونت
    Isfahan
    نوشته
    80
    سپاسگزاری شده
    8
    سپاسگزاری کرده
    49
    می تونی از کریو کنترل استفاده کنی و به هر کس یک یوزر و پس بدی و اینجور اگر کسی هم آی پیش رو عوض کنه رو محدودیت های اینترنتش چیزی عوض نمی شه


    mohamad-23 سپاسگزاری کرده است.

  3. #3
    نام حقيقي: رضا

    خواننده
    تاریخ عضویت
    Jan 2012
    محل سکونت
    تهران
    نوشته
    574
    سپاسگزاری شده
    141
    سپاسگزاری کرده
    511
    نقل قول نوشته اصلی توسط Javadt نمایش پست ها
    می تونی از کریو کنترل استفاده کنی و به هر کس یک یوزر و پس بدی و اینجور اگر کسی هم آی پیش رو عوض کنه رو محدودیت های اینترنتش چیزی عوض نمی شه
    دوست عزیز کریو خیلی باگ داره(احتمالا به خاطر کرکشه) قطع و وصل می شه.
    واقعا تا حالا کسیو ندیدم زیر بار ببرتش مگر ورژن های قدیمیشو.



  4. #4
    نام حقيقي: حمزه

    خواننده شناسه تصویری Gold_
    تاریخ عضویت
    May 2012
    محل سکونت
    اصفهان
    نوشته
    475
    سپاسگزاری شده
    188
    سپاسگزاری کرده
    128
    میتونید از برنامه CCproxy استفاده کنید.
    و سمت کلاینتها هم یا پروکسی فایر یا با وارد کردن یوزر و پسوورد در پروکسی مرورگرها اینترنت رسانی کنید.


    caspian سپاسگزاری کرده است.

  5. #5
    نام حقيقي: Amir Fouladvand

    عضو ویژه
    تاریخ عضویت
    Nov 2010
    محل سکونت
    Arak
    نوشته
    644
    سپاسگزاری شده
    807
    سپاسگزاری کرده
    270
    سلام
    سویچ مورد استفاده رو میشه بفرمائید ؟
    اگر سیسکو باشه میتونید ترتیبی بدین که پورت شبکه کاربر هایی که DHCP رو غیر فعال میکنن Disable بشه.


    mehrzadmo و mohamad-23 سپاسگزاری کرده‌اند.

  6. #6
    نام حقيقي: amin

    تازه وارد
    تاریخ عضویت
    Jul 2010
    محل سکونت
    tehran
    نوشته
    8
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    5
    نقل قول نوشته اصلی توسط VMwares نمایش پست ها
    سلام
    سویچ مورد استفاده رو میشه بفرمائید ؟
    اگر سیسکو باشه میتونید ترتیبی بدین که پورت شبکه کاربر هایی که DHCP رو غیر فعال میکنن Disable بشه.

    سویچم قابل کانفیگ نیست وگرنه می شدمک فیلترینگ رو روش اجرا کرد ..



  7. #7
    نام حقيقي: کاوه آشوری

    عضو عادی شناسه تصویری kavehashoori
    تاریخ عضویت
    Apr 2005
    محل سکونت
    تهران
    نوشته
    1,660
    سپاسگزاری شده
    972
    سپاسگزاری کرده
    324
    دوست عزیز در شبکه ورک گروپ با این مشخصات شما فقط میتونی از داخل گروپ پالیسی ( یا با نرم افزار ) دسترسی کاربرا به کارت شبکشون رو محدود و مسدود کنی .


    mohamad-23 سپاسگزاری کرده است.

  8. #8
    نام حقيقي: محمد رسول راستی

    مدیر عمومی شناسه تصویری M-r-r
    تاریخ عضویت
    Feb 2004
    محل سکونت
    تهران
    نوشته
    9,486
    سپاسگزاری شده
    4309
    سپاسگزاری کرده
    2706
    مدل اشتراک گذاری اینترنت رو عوض کنید؛ خیلی راحت میتونید با یه ویندوز سرور و یه اکانتینگ سبک مثل nttacplus ، یه VP n Server داخلی راه اندازی کنید و اینترنت رو اینجوری کنترل کنید. همچنین میتونید از یک Router OS هم استفاده کنید و کاربران بصورت Hotspot یا PPPoE Connection از اینترنت استفاده کنند.


    mehrzadmo، jozef، caspian و 1 نفر دیگر سپاسگزاری کرده‌اند.
    Mohammad Rasoul Rasti
    There's no place like 127.0.0.1
    m.rasti [@] outlook.com

  9. #9
    نام حقيقي: محمد فراهانی

    عضو عادی شناسه تصویری mohamad-23
    تاریخ عضویت
    Nov 2011
    محل سکونت
    تهران
    نوشته
    1,303
    سپاسگزاری شده
    1096
    سپاسگزاری کرده
    847
    آقای راستی حرف آخر رو زدن دیگه ... باید مدل اشتراک اینترنت تو شبکه شما عوض بشه و اینترنت داشتن به اکانت وابسته بشه نه IP


    caspian سپاسگزاری کرده است.

  10. #10
    نام حقيقي: محمد

    عضو عادی
    تاریخ عضویت
    Apr 2012
    محل سکونت
    تهران
    نوشته
    233
    سپاسگزاری شده
    21
    سپاسگزاری کرده
    42
    حرف درست تر محدود کردن دسترسی کاربر است چه معنی میدهد کاربر بتواند ip را تغییر بدهد که بعد این مشکلات پیش بیاید
    و هر نرم افزار دیگری هم استفاده کنید راه در رو پیدا میشه ...
    مثل اینکه کلید درب خونتون رو بذارین پشت در و بعد دوربین کار بذاری ببینی که کی میاد دزدی ... !!!



  11. #11
    نام حقيقي: محمد فراهانی

    عضو عادی شناسه تصویری mohamad-23
    تاریخ عضویت
    Nov 2011
    محل سکونت
    تهران
    نوشته
    1,303
    سپاسگزاری شده
    1096
    سپاسگزاری کرده
    847
    نقل قول نوشته اصلی توسط mscomp نمایش پست ها
    حرف درست تر محدود کردن دسترسی کاربر است چه معنی میدهد کاربر بتواند ip را تغییر بدهد که بعد این مشکلات پیش بیاید
    و هر نرم افزار دیگری هم استفاده کنید راه در رو پیدا میشه ...
    مثل اینکه کلید درب خونتون رو بذارین پشت در و بعد دوربین کار بذاری ببینی که کی میاد دزدی ... !!!
    حرف شما درسته ولی معمولا توی سازمان های کوچیک این کار پیاده تمیشه و به دردسرهاش نمیارزه...
    معمولا شما باید سعی کنی سرویس هاتونو متمرکز کنید و خیلی به کلاینت ها کاری نداشته باشی ...



  12. #12
    نام حقيقي: میثم حلوایی

    عضو ویژه/سرپرست بخش Windows شناسه تصویری halvaei
    تاریخ عضویت
    Apr 2009
    محل سکونت
    کاشان
    نوشته
    1,891
    سپاسگزاری شده
    1629
    سپاسگزاری کرده
    810
    نوشته های وبلاگ
    6
    نقل قول نوشته اصلی توسط caspian نمایش پست ها
    مشکل امنیتی در رابطه با دزدی ip در شبکه

    سلام به همه دوستان

    من در شبکه شرکتی که کار می کنم با یک مشکل امنیتی رو برو شدم. قبل اینکه مشکل رو مطرح کنم یه توضیح کوچیکی از توپولوژی شبکه واستون می گم:

    ویندوز سرور 2003 با نرم افزار isa و مدیریت کاربرا واسه استفاده از اینترنت با افزونه btsplitter
    هر کاربر یک ادرس ip با استفاده از رزرو مک ادرسش در dhcp داره و با تعریف این ip ها در isa واسه اونا محدودیت زمان و ترافیک داده شده.

    مشکل اینجاست که بعضی از کاربرا با تخصیص دستی ip های یوزر های دیگه از اکانت اونا استفاده می کنند و همچنین این کار باعث میشه mac آدرس ها از رزرو dhcp بپره و نیاز باشه دو باره تعریف بشن

    می دونم اگه شبکه به صورت دومینی بود این مشکل رو نداشتم ولی امکانش نیست که اینکار رو بکنم. در ضمن خواستم *** server ایزا رو راه بندازم که باز هم برای تایید هویت آنها نیاز به محیط دومین هستش تا از یوزر های ویندوز سرور استفاده کنه.

    در نهایت به فکر یه فایروال(sygate personal firewall) افتادم تا در کنار isa کار کنه و بتونم مک ادرس شخصی رو که ای پی دستی وارد میکنه رو بلوک کنم. ولی با عوض کردن مک آدرسش این فیلتر رو هم دور می زنه.

    تنها راه حلی که به ذهنم می رسنه اینه که با یه فایروال بتونم همه رو بلوک کنم غیر اونهایی که mac ادرس هاشون توی فایروال تعریف شده ... ولی فایوالی که بالا بهش اشاره کردم نسخه کرکش موجود نیست و فقط 10 تا رول می شه واسش تعریف کرد که تعداد کاربرای من از 30 تا بالاترند ....


    حالا از شما دوستان گل تقاضا دارم اگه راه حلی به ذهنتون می رسه منو راهنمایی کنید. در ضمن امکانات من فقط همیناست و نمی تونم هیچ دیواس سخت افزاری رو به شبکم اضافه کنم. مرسی
    سلام دوست عزیز
    راه کم دردسر اینه
    اگه آشنایی شما با ایزا خوب هست . نوع اینترنت دهی به کاربران رو به جای All users به athenticate user تغییر بده . تنظیمات VPN Server را انجام بده . با این کار کاربران برای اتصال به اینترنت باید به ایزا شما وی پی ان بزنند و اینترنت آنها به کاربرها داده میشه به جای کامپیوتر ها .
    راه ساده ترتر
    آب از سرچشمه گل الوده پس دسترسی کاربرها رو به تنظیمات کارت شبکه ببند . به همین سادگی یه راه اینه یوزرها روی سیستم خودشون ادمین نباشند .


    kavehashoori، mehrzadmo و caspian سپاسگزاری کرده‌اند.

  13. #13
    نام حقيقي: amin

    تازه وارد
    تاریخ عضویت
    Jul 2010
    محل سکونت
    tehran
    نوشته
    8
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    5
    نقل قول نوشته اصلی توسط halvaei نمایش پست ها
    سلام دوست عزیز
    راه کم دردسر اینه
    اگه آشنایی شما با ایزا خوب هست . نوع اینترنت دهی به کاربران رو به جای All users به athenticate user تغییر بده . تنظیمات VPN Server را انجام بده . با این کار کاربران برای اتصال به اینترنت باید به ایزا شما وی پی ان بزنند و اینترنت آنها به کاربرها داده میشه به جای کامپیوتر ها .
    راه ساده ترتر
    آب از سرچشمه گل الوده پس دسترسی کاربرها رو به تنظیمات کارت شبکه ببند . به همین سادگی یه راه اینه یوزرها روی سیستم خودشون ادمین نباشند .
    در این صورت فکر کنم باید اکتیو داریرکتوری و دومین رو روی سرور راه بندازم تا بتونم به یوزر ها اکانت بدم ... ولی مسئله اینه که اینجا چون سیتم ها عوض میشه هر شخص باید اول join دومین بشه و بعد بتونه از اینترنت استفاده کنه... از طرفی سرورم ضعیفه و این تعداد کلاینت رو فکر کنم جواب نده ...

    - - - ادامه - - -

    نقل قول نوشته اصلی توسط M-r-r نمایش پست ها
    مدل اشتراک گذاری اینترنت رو عوض کنید؛ خیلی راحت میتونید با یه ویندوز سرور و یه اکانتینگ سبک مثل nttacplus ، یه VP n Server داخلی راه اندازی کنید و اینترنت رو اینجوری کنترل کنید. همچنین میتونید از یک Router OS هم استفاده کنید و کاربران بصورت Hotspot یا PPPoE Connection از اینترنت استفاده کنند.

    آره .. تو فکر nttpluse هم بودم ... تا حالا باهاش کار نکردم ... میشه کنار ای زا نصب بشه ؟
    در هر صورت مسئله اصلی این بود که بشه به یه طریقی کاربرایی که دستی ای پی ست کردن رو مسدود کنیم.

    - - - ادامه - - -

    سلام دوستان .. من تونستم کرک فایروالی که گفته بودم رو پیدا کنم.... همه ترافیک ورودی رو بلوک کردم و فقط اونهایی که مک ادرسشون توی فایروال ست شده می تونن از اینترنت استفاده کنن... ولی دو تا مشکل پیش اومده که قبلا بهش فکر نکرده بودم :
    1. سرعت به شدت اومده پایین
    2.اگر یوزی رو که ای پی رو عوض می کرده توی سیتم جا بدم (مکش رو توی فایروال تعریف کنم) باز هم می تونه به این کار ادامه بده ...



  14. #14
    نام حقيقي: محمد رسول راستی

    مدیر عمومی شناسه تصویری M-r-r
    تاریخ عضویت
    Feb 2004
    محل سکونت
    تهران
    نوشته
    9,486
    سپاسگزاری شده
    4309
    سپاسگزاری کرده
    2706
    راه حل بهتری هم هست، چگونگیش با شما؛
    مبنای سرویس دهی رو بذارید روی Mac Address؛


    caspian سپاسگزاری کرده است.
    Mohammad Rasoul Rasti
    There's no place like 127.0.0.1
    m.rasti [@] outlook.com

  15. #15
    نام حقيقي: amin

    تازه وارد
    تاریخ عضویت
    Jul 2010
    محل سکونت
    tehran
    نوشته
    8
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    5
    سلام دوستان

    مشکل با یک راه حل فوق العاده ساده و هوشمندانه حل شد ... برنامه ریزی جدول arp سرور به صورت دستی ...
    با استفاده از دستور arp به هر ای پی مک ادرس خودش رو اختصاص دادم و هر ای پی که با یک مک آدرس تو جدول arp تعریف بشه سرو فقط زمانی بهش سرویس می ده که مک و ای پی با هم تطابق داشته باشند.

    از همه شما دوستان تشکر می کنم ... موفق باشید.



صفحه 1 از 2 1 2 آخرینآخرین

کلمات کلیدی در جستجوها:

محدود کردن ip آدرس به مک آدرس در dhcp

روش استفاده از sygate firewall

دزدی آی پی

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •